U današnjem svijetu u raznim područjima ljudske djelatnosti sve se više pristupa ozbiljnom metodološkom načinu upravljanja rizicima. Razlog za to leži u činjenici da sve više dolaze do izražaja razni izvori prijetnji, odnosno rizika za sve vrste organizacija, bilo da su proizvodne, uslužne, političke, društveno-korisne, sportske itd. Ti rizici su najvećim dijelom u sferi industrijske špijunaže, geopolitičke nestabilnosti, radikalnim ideologijama, nezadovoljstvu i nesigurnosti pojedinaca, nesigurnim tehnologijama, manje – više nepredvidivim prirodnim katastrofama, itd. Istina je da se i ranije u pojedinim djelatnostima koristilo upravljanje rizicima, u nekima izuzetno ozbiljno, ali današnji trend je da se tom problemu pristupi na svim razinama, u svim organizacijama, kao jednom od najefikasnijih načina borbe za stabilnost i održivost istih. O tome je konačno i zadnja revizija ISO 9001:2008 stidljivo progovorila, što je samo znak da su problem rizika prepoznali autori najraširenijeg standarda za sustave upravljanja u svijetu.
Za ozbiljne primjene upravljanja rizicima vrlo važnu ulogu je odigrala objava i standarda ISO 31000:2009 (Risk management - Principles and guidelines). Ovaj standard predlaže, po principu najbolje prakse, proces za upravljanje rizicima poštujući sve zakonitosti PDCA kruga. Standard definira generički proces za upravljanje rizicima, što znači da je proces potpuno nezavisan od područja primjene. Međutim, jedna od najkritičniji faza procesa je procjena rizika. O tome standard ne govori ništa posebno, niti daje metodologiju kako provesti procjenu rizika. Razlog za to je u činjenici što metodologija procjene rizika može jako zavisiti od područja primjene. Da li će se koristiti kvantitativna ili kvalitativna metoda, sa nizom podvrsta i varijacija, zavisi od praktične primjenljivosti. Zbog toga je izbor metode za procjenu rizika ostavljen da svatko odabere prema svojim potrebama i specifičnostima.
U ovom tekstu se prikazuje jedna od niza metoda procjene rizika koja ima neke svoje prednosti, naravno i mane. Metoda je poznata pod nazivom VECTOR©.
VECTOR metoda je besplatna, jednostavna metodologija za korištenje za samo-procjenu i razvijena je da pomogne organizacijama definirati prioritete kritičnih rizika. Metoda dopušta da korisnik jednostavno kvantificira i vizualno predstavi sve aspekte rizika organizacije, uključujući prirodne katastrofe. VECTOR je akronim nastao od engleskih riječi: Vulnerability, Ease-of Execution, Consequence, Threat, Operational-Importance, te Resiliency, što bi u prevodu bilo: ranjivost, jednostavnost izvedbe, posljedice, prijetnje, operativna važnost, te elastičnost. U tom kontekstu ova metoda za procjenu rizika se temelji na formuli:
RISK = V +E +C+T +O+R
Gdje su:
V = Vulnerability - ranjivost
E = Ease-of Execution – jednostavnost izvedbe
C = Consequence - posljedica
T = Threat - prijetnja
O = Operational-Importance – operativna važnost
R= Resiliency - elastičnost
Komponente VECTOR-a su definirane kao:
- Ranjivost: karakteristika imovine, odnosno objekta za procjenu rizika, a ima smisao da se s njom opisuje koliko je ta imovina ranjiva (osjetljiva) na neku vrstu napada. Pri tome, kada se govori o ranjivosti uvijek se mora govoriti i o prijetnji za koju ta ranjivost ima smisla. Tako npr. velika ranjivost neke imovine na krađu nema nikakve veze s prijetnjom od npr. poplava. Drugim riječima, ranjivost je karaktristika imovine kao npr. zgrade, poslvoni procesi, poslovne funkcije, itd. Ranjivost neke imovine je u pravilu posljedica činjenja ili nečinjenja pravih aktivnosti (implementacija sigurnosnih mjera) od strane organizacije da smanji ranjivost imovine na prijetnje. To znači, za ranjivost imovine prvenstveno je odgovorna organizacija, odnosno vlasnik te imovine. Neke od sigurnosnih mjera kojima se smanjuje ranjivost su brave, alarmi, vatrozid, antivirus softver, gradnja objekata otpornih na potres, edukacija zaposlenika, itd.
- Jednostavnost izvedbe: ovaj parametar se koristi za opis koliko je napadaču potrebno specijalnog alata, vještine, znanja, razne opreme, itd. da bi uspješno izveo napad. Nizak nivo jednostavnosti izvedbe označava da napadač ili prirodna sila mora uložiti znatno veću snagu i stručnost da bi se uspješno realizirao napad. Visoki nivo jednostavnosti izvedbe označava da je napadač relativno jednostavno, uz minimalnu stručnost i iskustvo, može izazvati uspješan napad.
- Posljedica: predstavlja gubitak ekonomske, simboličke ili psihološke vrijednosti (npr. tajnost informacija, ugled organizacije, ugroženost okoliša, tjelesne ozljede, gubitak života, itd, a posljedica su napada ili prirodne katastrofe.
- Prijetnja: Prijetnja predstavlja vjerojatnost nekog događaja ili da će protivnik (napadač) s potencijalom uzrokvati štetu. U protivnike (napadače) – izvore prijetnji spadaju npr. prirodne katastrofe, kriminalci, teroristi, zlonamjernost konkurencije ili agresivnog prosvjednika, itd. Prijetnje za koje ne postoji ranjivost nisu od interesa, kao ni prijetnje za koje postoji ranjivost, ali su posljedice nikakve ili zanemarive.
- Operativna važnost: Pod operativnom-važnosti se smatra stupanj do kojeg imovina podupire ukupnu misiju organizacije. Kritična imovina ili ključni poslovni procesi, su oni koji svojom neispravnošću i nefunkcioniranjem mogu dovesti do zaustavljanja tih aktivnosti, a manje važna imovina ako bude napadnuta ima manje važan značaj za misiju. Redundantni sustavi i rezervni dijelovi za obavljanje popravaka pravovremeno služe za smanjenje parametra operativne-važnosti. Tijekom svoje prve organizacijske procjene, važno je analizirati sveobuhvatan popis imovine i poslovnih procesa kako bi osigurali da su obuhvaćeni svi aspekti rizika organizacije. Na primjer, imovina koja može biti smatrana niske važnosti na početnoj inspekciji, može se kasnije pokazati da je u biti kritična komponenta ili ključni proces unutar šireg konteksta poslovanja. Tijekom vremena, važno je osigurati da organizacije imaju ažuran popis imovine, što znači da se on mora dopunjavti kod npr. rasta, restrukturiranja, kadrovskih promjena, i / ili kupnji i uklanjanja imovine (tj., zemljišta, tvornice, zgrade) ili sustava.
- Elastičnost: Brzina kojom se organizacija može uspješno oporaviti, preustrojiti i sama osposobiti za nastavak poslovanja nakon značajnog proboja sigurnosti ili prirodnih katastrofa. Bodovanje rizika za ovaj kriterij se temelji na inverznom odnosu. Kad se za imovinu kaže da ima visoki stupanj elestičnosti (tj. brzi oporavak s minimalnim ili nemjerljivo malim vremenom ispada), znači da ima niski nivo bodova za rizik, za razliku od slučaja kada imovina ima niski stupanj elastičnosti (tj., sustav bez redudancije, nema rezervnih kopija podataka, nema alternative za rezervne lokacije, itd) , tada se govori o visokim bodovima ocjene rizika.
Primjer metodologije VECTOR procjene rizika prikazan je u slijedećoj tabeli.
IMOVINA
| V | E | C | T | O | R | SUMA |
Kompjuteri
| 8 | 6 | 7 | 7 | 8 | 5 | 41 |
| Web Server | 6 | 7 | 7 | 8 | 8 | 5 | 40 |
Fire Wall
| 8 | 6 | 9 | 8 | 8 | 8 | 47 |
Baza podataka
| 9 | 7 | 9 | 8 | 9 | 8 | 50 |
Zgrada
| 7 | 7 | 8 | 7 | 7 | 6 | 42 |
Lab/Tvornica
| 8 | 9 | 10 | 7 | 10 | 8 | 52 |
Intelektualno vlasništvo
| 8 | 7 | 9 | 8 | 10 | 9 | 51 |
Materiali
| 6 | 5 | 5 | 5 | 6 | 3 | 30 |
| V | E | C | T | O | R |
Skala za procjenu rizika svake imovine je: 1 - 4 niska, 5 - 7 umjerena, ili 8 - 10 visoka i to za svaki V-E-C-T-O-R
U gornjem primjeru su dati podaci za hipotetičku firmu. Prvi stupac se koristi za opisivanje važne imovine ili poslovne funkcije koje podržavaju poslovanje. Za svaku imovina se analizirajui VECTOR kriteriji. Ispod tabele su kriteriji za ocjene rizika u okviru te organizacije.
Pri donošenju odluka za smanjenje rizika, kod upravljanja sigurnošću trebala provesti analizu troškova i koriti (cost-benefit) i analizu kompromisa (trade-off) kako bi se utvrdilo gdje će primjena određene strategije borbe protiv rizika imati najveći utjecaj, odnosno najveće smanjenje rizika organizacije uz optimalna ulaganja. Nakon određivanja prioriteta unutar VECTOR matrice, za upravljanje sigurnošću može se izabrati bilo koja ili kombinacija sljedećih strategija borbe protiv rizika.
- Smanjivanje rizika pomoću sigurnosnih protumjera (kontrole). Nekoliko primjera: instalacija za otkrivanje upada, zatvoreni video nadzor, sustavi za identifikaciju, uspostava ograničenog područja ili isključenje zone; dodavanje novih administrativnih / HR / sigurnosnih politika i procedura; edukacija, podizanje svijesti o sigurnosti, trajno provođenje sigurnosne provjere, itd
- Prihvaćanje rizika, takav kakav je. Naime, ako se ne isplati zbog velikih troškova smanjivanje rizika, ili je vjerojatnost pojave prijetnje iznimno mala, ili iz nekog drugog razloga uprava organizacije eksplicitno može prihvatiti procjenjeni rizik, mada nije u skladu s kriterijima prihvatljivosti rizika koji je propisala sama organizacija..
- Transfer rizika na treću osobu, kao što su osiguravajuća društva, odnosno za veće organizacije s višestrukim lokacijama, neprihvatljivi nivo rizika se može prenijeti na njih. Time se smanjuje nivo rizika, mada se nikada ne može svesti na 0.
- Izbjegavanje rizika, postupak kada se onemogućava situacija u kojoj može doći do realizacije nekog rizika.
Zaključak
Gore prikazana metoda procjene rizika VECTOR je samo jedna u nizu. Očito da spada u grupu tzv. kvalitativnih metoda koja u sebi po prirodi stvari sadrži značajni uticaj subjektivnosti. No, zbog svoje jednostavnosti i nekih elemenata koji se koriste u procjeni rizika, a što se obično ne susreće u drugim metodama, može biti interesantna nizu korisnika, praktički u svim područjima, gdje se i inače koriste kvalitativne metode.
